Se ha detectado una campaña masiva de ingeniería social suplantando a la Dirección General de Tráfico (DGT), a través de smishing y phishing dirigidos a la ciudadanía. Los atacantes utilizan como pretexto una supuesta sanción de tráfico, presionando con mensajes de urgencia o posibles cargos si no se realiza el pago de inmediato.
Al hacer clic sobre el enlace, la víctima será redirigida a un sitio web que imita a la página oficial de la DGT, donde se le solicitarán datos personales y bancarios mediante varios formularios fraudulentos, además de una imagen del DNI.
Detalle
Se han detectado diversas campañas de smishing y phishing en las que se utiliza la identidad de la DGT de forma fraudulenta. Estas campañas consisten en el envío masivo de mensajes de texto y correos electrónicos falsos, en los que se informa a las personas de la existencia de una supuesta multa pendiente, se les insta a realizar el pago en un plazo corto y se les presiona haciéndoles creer que el mensaje es un recordatorio final.
Al pulsar en el enlace proporcionado en estos mensajes, se solicita al usuario que complete varios formularios en los que, de manera progresiva, se recaban diferentes tipos de información personal, incluyendo la subida de una imagen del DNI y finalizando con los datos de la tarjeta bancaria.
A continuación, se muestran ejemplos de estas prácticas de smishing y phishing, donde se evidencia la presión ejercida sobre las víctimas mediante mensajes urgentes. Además, se puede observar cómo estos mensajes contienen faltas de ortografía y gramática.
Si analizamos los enlaces, a simple vista, se puede observar que no tienen relación con el dominio oficial de la DGT. Además, el patrón utilizado en estas direcciones web determina que se han utilizado herramientas para acortar la URL fraudulenta.
Ejemplos de smishing
«[DGT]: Multa pendiente. Pague antes del 02/11/2024 para evitar recargos. Más info: [URL]»
«DGT: Tiene usted pendiente de pago una infraccion de trafico, Referencia del archivo 108090 su expediente de infraccion a través de : [URL]»
«DGT:Último recordatorio antes del aumento de su multa pendiente de pago. Consulta tú expediente: [URL]»
«Dispone de 24 horas restantes para pagar su multa sino se proceder? al recargo del 50% del total proceder aqui: [URL]»
Ejemplo de phishing
El siguiente ejemplo muestra una variante, a través de correo electrónico, que sigue el mismo patrón que los SMS, cuyo remitente no guarda relación alguna con la DGT.
Al acceder al enlace proporcionado, se muestra una página web que simula el diseño de la DGT y una notificación oficial sobre el impago de una multa.
Al seleccionar la opción «Pagar la multa», aparece una nueva pantalla donde se proporciona un supuesto número de expediente de la multa. Aquí, el usuario debe completar un formulario con información personal obligatoria para continuar con el proceso de pago.
En algunas versiones del sitio web fraudulento, se solicita una imagen de la parte frontal del DNI para, supuestamente, verificar la identidad del usuario. Al proporcionar nuestra imagen del DNI, estaremos facilitando datos con los que podrán suplantarnos la identidad y cometer otro tipo de fraudes en nuestro nombre.
Una vez completados los datos personales, se muestra otra pantalla en la que se solicita al usuario ingresar información bancaria, incluyendo el número de la tarjeta, fecha de expiración y el código CVV, con la posibilidad de clicar en “Continuar” para seguir con el proceso.
Para finalizar, el usuario es dirigido a una nueva pantalla donde se le solicita ingresar un código recibido por SMS. Sin embargo, este mensaje nunca llega al teléfono del usuario. En algunas versiones, si introduce un código aleatorio, se le notifica inicialmente que es inválido, y al intentarlo nuevamente, el sistema puede aceptarlo, generando una falsa sensación de seguridad.
Durante este proceso, los atacantes consiguen progresivamente toda la información introducida en los formularios, desde datos personales hasta bancarios. Estos datos pueden ser utilizados para realizar fraudes o cometer otros delitos en el futuro.
Solución
En caso de haber recibido un SMS o correo electrónico con las características descritas y no accedido al enlace, te aconsejamos que nos reportes el SMS o correo electrónico a nuestro buzón de incidentes para poder difundir el fraude y evitar más víctimas, que bloquees al remitente y que elimines el mensaje de tu bandeja de entrada para evitar posibles futuros riesgos.
Por lo contrario, si has accedido al enlace y has compartido tus datos personales o bancarios a través del formulario y subido la imagen de tu DNI, te recomendamos que sigas los pasos que te mostramos a continuación:
- Comunícate de inmediato con tu entidad bancaria para que te aconsejen sobre las medidas necesarias para proteger tu cuenta.
- Haz capturas de pantalla y conserva todas las pruebas posibles del mensaje y los enlaces adjuntos. Para autenticar estas evidencias, considera utilizar testigos online.
- Realiza la práctica de egosurfing con regularidad para comprobar si tus datos personales han sido publicados o están siendo utilizados sin tu consentimiento en Internet.
- Contacta con la Línea de Ayuda en Ciberseguridad de INCIBE para recibir asesoramiento e indicaciones de cómo actuar.
- Si has enviado una imagen de tu DNI, presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado para, de esta forma, poder renovarlo y que los atacantes no dispongan de tu documento de identificación en validez. Además, deberás aportar otras evidencias que hayas recopilado sobre el fraude para facilitar la investigación.
- Si dudas sobre la veracidad de una comunicación de la DGT, ten en cuenta que este organismo notifica sus sanciones a través del correo postal (y en caso de no poder localizarte en tu domicilio, mediante publicación en el tablón edictal) o por medio de notificación electrónica, vía DEV – Dirección Electrónica Vial.